Rôles Azure, rôles Azure AD et rôles d’administrateur d’abonnement classique

  • Article
  • 8 minutes de lecture

Si vous débutez sur Azure, vous trouverez peut-être un peu difficile de comprendre l’ensemble des différents rôles dans Azure. Cet article vous aide en décrivant les rôles suivants et en indiquant quand les utiliser :

  • Rôles Azure
  • Rôles Azure Active Directory (Azure AD)
  • Rôles d’administrateur d’abonnements classique

Pour mieux comprendre les rôles dans Azure, connaître leur historique peut aider. Quand Azure a été publié au départ, l’accès aux ressources était géré avec seulement trois rôles d’administrateur : administrateur de comptes, administrateur de services et coadministrateur. Par la suite, le contrôle d’accès en fonction du rôle Azure (Azure RBAC) a été ajouté. Le contrôle RBAC Azure est un système d’autorisations plus récent qui fournit une gestion précise des accès aux ressources Azure. Le contrôle RBAC Azure compte de nombreux rôles intégrés, peut être assigné à différentes étendues et vous permet de créer vos propres rôles personnalisés. Pour gérer les ressources dans Azure AD, comme les utilisateurs, les groupes et les domaines, il existe plusieurs rôles Azure AD.

Le diagramme suivant est une vue d’ensemble des relations entre les rôles Azure, les rôles Azure AD et les rôles d’administrateur d’abonnement classique.

Diagramme des différents rôles dans Azure.

Rôles Azure

RBAC Azure est un système d’autorisations basé sur Azure Resource Manager qui offre une gestion précise des accès aux ressources Azure, comme les ressources de calcul et de stockage. Le contrôle RBAC Azure compte plus de 70 rôles intégrés. Il existe quatre rôles Azure fondamentaux. Les trois premiers s’appliquent à tous les types de ressources :

Rôle Azure Autorisations Notes
Propriétaire
  • Accès total à toutes les ressources
  • Délégation de l’accès à d’autres personnes
 L’administrateur de services et les coadministrateurs se voient attribuer le rôle Propriétaire dans l’étendue de l’abonnement
S’applique à tous les types de ressources.
Contributeur
  • Création et gestion de tous les types de ressources Azure
  • Créer un locataire dans Azure Active Directory
  • Ne peut pas accorder l’accès à d’autres personnes
 S’applique à tous les types de ressources.
Lecteur
  • Consultation des ressources Azure
 S’applique à tous les types de ressources.
Administrateur de l'accès utilisateur
  • Gestion de l’accès utilisateur aux ressources Azure

Les autres rôles intégrés permettent de gérer des ressources Azure spécifiques. Par exemple, le rôle Contributeur de machines virtuelles permet à l’utilisateur de créer et de gérer des machines virtuelles. Pour obtenir la liste de tous les rôles intégrés, consultez Rôles intégrés Azure.

Le contrôle RBAC Azure est pris en charge uniquement par le portail Azure et les API Azure Resource Manager. Les utilisateurs, les groupes et les applications qui se voient attribuer des rôles Azure ne peuvent pas utiliser les API du modèle de déploiement classique Azure.

Dans le portail Azure, les attributions de rôles avec RBAC Azure s’affichent sur la page Contrôle d’accès (IAM). Cette page se trouve partout dans le portail, comme dans les groupes d’administration, les abonnements, les groupes de ressources et diverses ressources.

Capture d’écran de la page Contrôle d’accès (IAM) dans le portail Azure.

Quand vous cliquez sur l’onglet Rôles, vous voyez la liste des rôles intégrés et personnalisés.

Capture d’écran des rôles intégrés dans le portail Azure.

Pour plus d’informations, consultez Attribuer des rôles Azure en utilisant le portail Azure.

Rôles Azure AD

Les rôles Azure AD sont utilisés pour gérer les ressources Azure AD d’un annuaire, par exemple pour créer ou changer des utilisateurs, attribuer des rôles d’administration à d’autres personnes, réinitialiser les mots de passe des utilisateurs, gérer les licences utilisateur et gérer les domaines. Le tableau suivant décrit quelques-uns des rôles Azure AD plus importants.

Rôle Azure AD Autorisations Notes
Administrateur général
  • Gestion de l’accès à toutes les fonctionnalités d’administration dans Azure Active Directory, ainsi que les services qui sont fédérés à Azure Active Directory
  • Attribution des rôles d’administrateur à d’autres personnes
  • Réinitialisation des mots de passe des utilisateurs et de tous les autres administrateurs
 La personne qui s’inscrit au locataire Azure Active Directory devient administrateur général.
Administrateur d’utilisateurs
  • Création et gestion de tous les aspects liés aux utilisateurs et aux groupes
  • Gestion des tickets de support
  • Suivi de l’intégrité des services
  • Changement des mots de passe des utilisateurs, des administrateurs du support technique et autres administrateurs d’utilisateurs
Administrateur de facturation
  • Achats
  • Gérer les abonnements
  • Gestion des tickets de support
  • Suivi de l’intégrité des services

Dans le portail Azure, vous pouvez voir la liste des rôles Azure AD sur la page Rôles et administrateurs. Pour obtenir une liste de tous les rôles Azure AD, consultez Autorisations des rôles d’administrateur dans Azure Active Directory.

Capture d’écran des rôles Azure AD dans le portail Azure.

Différences entre les rôles Azure et les rôles Azure AD

Globalement, les rôles Azure contrôlent les autorisations pour gérer les ressources Azure, tandis que les rôles Azure AD contrôlent les autorisations pour gérer les ressources Azure Active Directory. Le tableau suivant compare quelques différences.

Rôles Azure Rôles Azure AD
Gérer l’accès aux ressources Azure Gérer l’accès aux ressources Azure Active Directory
Prise en charge des rôles personnalisés Prise en charge des rôles personnalisés
L’étendue peut être spécifiée à plusieurs niveaux (groupe d’administration, abonnement, groupe de ressources, ressource) L’étendue peut être spécifiée au niveau du locataire (à l’échelle de l’organisation), d’une unité administrative ou d’un objet individuel (par exemple, une application spécifique)
Les informations sur les rôles sont accessibles dans le portail Azure, Azure CLI, Azure PowerShell, les modèles Azure Resource Manager et l’API REST Les informations sur les rôles sont accessibles dans le portail d’administration Azure, le centre d’administration Office 365, Microsoft Graph et AzureAD PowerShell

Les rôles Azure et les rôles Azure AD se chevauchent-ils ?

Par défaut, les rôles Azure et les rôles Azure AD ne couvrent pas Azure et Azure AD. Toutefois, si un administrateur général élève son accès en choisissant le commutateur Gestion de l’accès pour les ressources Azure dans le portail Azure, il reçoit le rôle Administrateur de l’accès utilisateur (rôle Azure) sur tous les abonnements d’un locataire spécifique. Le rôle Administrateur de l’accès utilisateur permet à l’utilisateur d’accorder à d’autres utilisateurs l’accès aux ressources Azure. Ce commutateur peut être utile pour récupérer l’accès à un abonnement. Pour plus d’informations, consultez Élever l’accès pour gérer tous les abonnements et groupes d’administration Azure.

Plusieurs rôles Azure AD couvrent Azure AD et Microsoft 365, tels que les rôles d’administrateur général et d’administrateur d’utilisateurs. Par exemple, si vous êtes membre du rôle Administrateur général, vous disposez des fonctionnalités de l’administrateur général dans Azure AD et Microsoft 365, avec par exemple la possibilité d’apporter des changements dans Microsoft Exchange et Microsoft SharePoint. Toutefois, par défaut, l’administrateur général n’a pas accès aux ressources Azure.

Diagramme illustrant les rôles RBAC Azure par rapport aux rôles Azure AD.

Rôles d’administrateur d’abonnements classique

Dans Azure, les trois rôles d’administrateur d’abonnements classique sont Administrateur de comptes, Administrateur de services et Coadministrateur. Les administrateurs d’abonnements classiques ont un accès total à l’abonnement Azure. Ils peuvent gérer les ressources en utilisant le portail Azure, les API Azure Resource Manager et les API du modèle de déploiement classique. Le compte qui est utilisé pour l’inscription à Azure est automatiquement défini en tant qu’administrateur de compte et administrateur de services fédérés. Par la suite, des coadministrateurs peuvent être ajoutés. Les administrateurs de services et les coadministrateurs ont un accès équivalent aux utilisateurs qui ont reçu le rôle Propriétaire (rôle Azure) dans le cadre de l’abonnement. Le tableau suivant décrit les différences entre ces trois rôles d’administrateurs d’abonnements classiques.

Administrateur d’abonnements classiques Limite Autorisations Notes
Administrateur de comptes 1 par compte Azure
  • Peut accéder au portail Azure et gérer la facturation
  • Gérer la facturation pour tous les abonnements du compte
  • Création de nouveaux abonnements
  • Annulation d’abonnements
  • Changement du mode de facturation d’un abonnement
  • Changement d’administrateur de services
  • Ne peut pas annuler des abonnements, sauf s’il a le rôle d’administrateur de service ou de propriétaire d’abonnement
 Le concept est qu’il est propriétaire de la facturation de l’abonnement.
Administrateur de services 1 par abonnement Azure
  • Gestion des services dans le portail Azure
  • Annuler l’abonnement
  • Attribution d’utilisateurs au rôle Coadministrateur
 Par défaut, pour un nouvel abonnement, l’administrateur de compte est également l’administrateur de services fédérés.
L’administrateur de services dispose de l’accès équivalent à un utilisateur qui se voit attribuer le rôle Propriétaire sur l’étendue de l’abonnement.
L’Administrateur de service a un accès complet au portail Azure.
Coadministrateur 200 par abonnement
  • Mêmes privilèges d’accès que l’administrateur de services fédérés, à ceci près qu’il ne peut pas changer l’association des abonnements aux répertoires Azure AD
  • Affecter des utilisateurs au rôle Coadministrateur, mais ne peut pas changer l’administrateur de service
 Le coadministrateur dispose de l’accès équivalent à un utilisateur qui se voit attribuer le rôle Propriétaire sur l’étendue de l’abonnement.

Sur le portail Azure, vous pouvez gérer les Coadministrateurs ou afficher l’Administrateur de Service sous l’onglet Administrateurs classiques.

Capture d’écran des administrateurs d’abonnement classique Azure sur le portail Azure.

Sur le portail Azure, vous pouvez afficher ou modifier l’administrateur de service ou afficher l’administrateur de compte dans la page de propriétés de votre abonnement.

Capture d’écran de l’administrateur de compte et de l’administrateur de service dans le portail Azure.

Pour plus d’informations, consultez Administrateurs d’abonnement Azure Classic.

Compte Azure et abonnements Azure

Un compte Azure est utilisé pour établir une relation de facturation. Un compte Azure est une identité d’utilisateur, un ou plusieurs abonnements Azure et un ensemble de ressources Azure associé. La personne qui crée le compte est l’administrateur de comptes de tous les abonnements créés dans ce compte. Cette personne est également l’administrateur de services par défaut de l’abonnement.

Les abonnements Azure vous permettent d’organiser l’accès aux ressources Azure. Ils vous permettent également de contrôler le signalement, la facturation et le paiement des ressources utilisées. Comme chaque abonnement peut avoir une configuration de facturation et de paiement différente, vous pouvez avoir différents abonnements et différents plans par bureau, service, projet, etc. Chaque service appartient à un abonnement, et l’ID d’abonnement peut être nécessaire pour les opérations de programmation.

Chaque abonnement est associé à un annuaire Azure AD. Pour identifier l’annuaire auquel est associé l’abonnement, ouvrez Abonnements dans le portail Azure, puis sélectionnez un abonnement pour voir l’annuaire.

Les comptes et les abonnements sont gérés sur le portail Azure.

Étapes suivantes